Togas.biz

Concluye la consulta pública de la nueva guía del European Data Protection Board sobre el cálculo de sanciones administrativas en el marco del RGPD

El pasado 16 de mayo, el European Data Protection Board (“EDPB”) publicó las Directrices 04/2022 sobre el cálculo de las sanciones administrativas conforme al Reglamento General de Protección de Datos (RGPD) (las “Directrices 04/2022”), las cuales pretenden armonizar la metodología aplicada por las distintas autoridades de protección de datos en Europa y, en particular, en lo que se refiere a la imposición de multas administrativas ante incumplimientos del Reglamento General de Protección de Datos (“RGPD”), puesto que las autoridades han venido mostrando su determinación por garantizar el cumplimiento de la normativa, imponiendo múltiples sanciones de cifras importantes.

En los últimos meses, las principales infracciones que han propiciado la imposición de sanciones económicas han consistido, mayoritariamente, en la insuficiencia de base legitimadora para el tratamiento (art. 6 RGPD), la deficiencia de medidas técnicas y organizativas apropiadas para garantizar la seguridad de la información (art. 24 RGPD) y en la falta de asistencia de los derechos en materia de protección de datos. No obstante, el foco de atención parece haberse trasladado últimamente a la normativa sobre cookies. En cualquier caso, es posible percibir cierta disparidad en las cifras (si bien elevadas) de muchas de estas sanciones (podéis encontrar ejemplos de esta disparidad en anteriores entradas de nuestro blog).

Y es que, si bien es evidente que la cuantía de una sanción dependerá siempre de las circunstancias concurrentes en cada caso, las autoridades no contaban hasta la fecha con unos criterios claros, completos y armonizados que poder seguir a la hora de calcular el importe de una sanción.

Tratando de poner fin a tan patente de falta de homogeneidad, el grupo de Trabajo del Artículo 29 adoptó en octubre de 2017 las Directrices 2016/679 sobre la aplicación y la fijación de las multas administrativas a efectos del Reglamento (las “Directrices 2016/679”), centradas en las circunstancias relevantes para imponer una multa. A pesar de los beneficios que sin duda trajeron estas Directrices 2016/679, fueron criticadas por algunos sectores bajo el pretexto de que no garantizaban (por sí solas) una aplicación proporcionada del régimen sancionador del RGPD. Siguiendo esta línea y probablemente esta necesidad, las autoridades de alemanas (la Conferencia de Autoridades Alemanas de Protección de Datos -German Datenschutzkonferenz-) también quisieron tomar cartas en el asunto, y publicaron unas directrices por las que propusieron un sistema para el cálculo de sanciones bajo el RGPD. Sin embargo, éstas no resultan en modo alguno vinculantes para las autoridades de los restantes Estados Miembros, y contienen asimismo ciertas limitaciones (por ejemplo, no resultan aplicables a incumplimientos relacionados con transferencias internacionales de datos y únicamente se refieren a la imposición de sanciones a personas jurídicas).

Como indicábamos al inicio, es en este contexto de (todavía) cierta inseguridad jurídica y tratando de armonizar la metodología empleada por las distintas autoridades de control a la hora de calcular el importe de estas multas, que el EDPB ha publicado las Directrices 04/2022, cuyo período de consulta pública acaba de finalizar. Las Directrices 04/2022 complementan a las Directrices 2016/679, debiendo aplicarse ambas simultáneamente.

Siguiendo un planteamiento y un esquema paso a paso, el objetivo de las Directrices 04/2022 consiste en adoptar unos puntos de partida y una metodología armonizados como orientación común, sobre la base de los cuales poder realizar el cálculo de cada multa administrativa. No obstante, como consecuencia de esta necesidad de atender a cada caso concreto, las autoridades pueden desviarse de los pasos identificados por el EDPB en las Directrices 04/2022 si consideran que no resultan aplicables al que están enjuiciando.

En síntesis, la metodología y orientación que propone el EDPB es la siguiente:

  • Paso 1: Identificación de las operaciones de tratamiento y determinación de la existencia de una o varias infracciones.
  • Paso 2: Determinación del punto de partida para el cálculo de la multa, para lo que resulta necesario considerar tanto la gravedad de la infracción en el supuesto concreto como el volumen de negocio de la empresa infractora.
  • Paso 3: Consideración y aplicación de los factores agravantes o atenuantes que pueden aumentar o disminuir el importe, sobre los que aporta ejemplos concretos.
  • Paso 4: Determinación del importe máximo de la multa contemplando los límites definidos en el RGPD.
  • Paso 5: Análisis de si el importe final calculado cumple los requisitos de eficacia, disuasión y proporcionalidad, lo que permitirá –cuando sea necesario y respetando el máximo legal aplicable– la modificación de la multa en consecuencia.

Sin perjuicio de que las características de cada caso concreto seguirán resultando determinantes y que –como enfatiza el EDPB– el cálculo de una sanción no puede corresponderse con una mera operación matemática, es evidente que la llegada de las Directrices 04/2022 (en conjunción con las Directrices 2016/679) permitirán a las autoridades de control garantizar una aplicación y un cumplimiento coherentes de la normativa de protección de datos.

Dado que, tras la finalización del período de consulta pública, el contenido de las Directrices 04/2022 podría verse modificado, os mantendremos informados acerca de cualquier novedad que pudiera producirse al respecto.

  • Ana Sánchez
  • Ivette Pardo